Se ha detectado una vulnerabilidad en WebLogic que posibilita a un
atacante la construcción de ataques de Cross Site Scripting.
WebLogic es un servidor de aplicaciones de la empresa BEA Systems,
especialmente indicado para entornos dirigidos al comercio
electrónico. Lo que añade a esta vulnerabilidad un peligro adicional.
El problema reside en que determinados parámetros no se verifican
adecuadamente antes de ser devueltos al usuario. Esto puede ser
explotado para realizar los ataques de Cross Site Scripting.
Múltiples scripts de ejemplos se ven afectados por este
problema, las aplicaciones a medida también pueden estar afectadas.
Las versiones afectadas por este problema son:
BEA Systems Liquid Data 1.1
BEA Systems WebLogic Express 5.1
BEA Systems WebLogic Express 6.1
BEA Systems WebLogic Express 7.0
BEA Systems WebLogic Integration 7.0
BEA Systems WebLogic Server 5.1
BEA Systems WebLogic Server 6.1
BEA Systems WebLogic Server 7.0
Los parches para evitar este problema se encuentran disponible en
la dirección.
WebLogic Server 7.0 SP2
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar
WebLogic Integration 7.0 SP2:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR103371_WLI70SP2.zip
WebLogic Server 6.1 SP3:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp3.jar
WebLogic Integration 2.1:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip
WebLogic Server 6.1 SP2:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp2.jar
WebLogic Integration 2.1:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip
Parche para WebLogic Server 7.0 SP2:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar
WebLogic Server 7.0
actualizar Service Pack 3 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp3.jar
WebLogic Server 6.1
Actualizar a Service Pack 5 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp5.jar
WebLogic Server 5.1
Actualizar a Service Pack 13 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105007_510sp13.jar
roman@hispasec.com
Más información:
SECURITY ADVISORY (BEA03-36.00)
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/SA_BEA03_36.00.jsp
BEA Systems, Inc:
http://www.bea.com
Deja una respuesta